форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[ Отслеживать ]

"Не работает связка Netflow + NAT"		+/–
Сообщение от tyomikh (??) on 27-Фев-06, 15:52
все делал по докам и соображениям здравого смысла, но все равно не работает sh run Current configuration : 5656 bytes ! ! Last configuration change at 15:32:53 msk Mon Feb 27 2006 by admin ! version 12.4 service timestamps debug datetime msec localtime service timestamps log datetime msec localtime service password-encryption ! hostname gw ! boot-start-marker boot system flash c1841-advsecurityk9-mz.124-5.bin boot-end-marker ! logging buffered 4096 debugging enable secret 5 x ! aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common ! resource policy ! clock timezone msk 3 clock summer-time msk recurring mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no ip source-route ip cef ! ! ip inspect max-incomplete low 25 ip inspect max-incomplete high 100 ip inspect one-minute low 25 ip inspect one-minute high 100 ip inspect name ext smtp alert on ip inspect name ext http alert on ip inspect name ext ftp alert on ip inspect name ext tcp alert on ip inspect name ext udp alert on ip inspect name ext icmp alert on ip inspect name ext ssh alert on ip inspect name ext telnet alert on ! ! no ip domain lookup ip domain name x ip ssh authentication-retries 2 ip rcmd rsh-enable ip rcmd remote-host tr_acct 192.168.40.2 administrator enable 3 ! ! ! username admin privilege 15 secret 5 x username remoteUser secret 5 x ! ! ! crypto isakmp policy 3 encr 3des authentication pre-share group 2 ! crypto isakmp client configuration group x key x pool IRP_vpn acl 108 ! ! crypto ipsec transform-set vpnTransSet esp-3des esp-sha-hmac ! crypto dynamic-map dynMap 10 set transform-set vpnTransSet ! ! crypto map irp_vpn_map client authentication list userauthen crypto map irp_vpn_map isakmp authorization list groupauthor crypto map irp_vpn_map client configuration address respond crypto map irp_vpn_map 10 ipsec-isakmp dynamic dynMap ! ! ! interface Loopback0 ip address 192.168.254.1 255.255.255.0 ip virtual-reassembly ip route-cache flow ! interface FastEthernet0/0 description WAN ip address 195.178.213.83 255.255.255.248 ip access-group ext_if_in in ip access-group ext_if_out out no ip redirects no ip unreachables no ip proxy-arp ip inspect ext in ip nat outside ip virtual-reassembly ip route-cache flow ip policy route-map l00p duplex auto speed auto ! interface FastEthernet0/1 description LAN ip address 192.168.40.1 255.255.255.0 ip nat inside ip virtual-reassembly ip route-cache flow duplex auto speed auto ! ip local pool IRP_vpn 192.168.100.1 192.168.100.10 ip route 0.0.0.0 0.0.0.0 195.178.213.81 ip flow-export version 5 ! no ip http server no ip http secure-server ip nat pool internal2outside 195.178.213.84 195.178.213.84 netmask 255.255.255.248 ip nat inside source list 1 pool internal2outside overload ! ip access-list extended ext_if_in evaluate ip_out permit tcp any host 195.178.213.83 eq 22 permit udp any host 195.178.213.83 eq isakmp permit udp host 204.34.198.40 eq ntp host 195.178.213.83 eq ntp deny   ip any any log ip access-list extended ext_if_out permit ip 195.178.213.80 0.0.0.7 any reflect ip_out deny   ip any any log ! access-list 101 permit ip any 192.168.40.0 0.0.0.255 access-list 108 permit ip any any route-map l00p permit 10 match ip address 101 set interface Loopback0 FastEthernet0/1 ! ! ! control-plane ! privilege exec level 3 show ip accounting privilege exec level 3 show ip privilege exec level 3 show privilege exec level 3 clear ip accounting privilege exec level 3 clear ip privilege exec level 3 clear ! line con 0 line aux 0 line vty 0 4 access-class 31 in privilege level 15 transport input ssh line vty 5 15 privilege level 15 transport input telnet ! ntp clock-period 17178386 ntp server 204.34.198.40 end gw#sh ip cache flow IP packet size distribution (24632 total packets):    1-32   64   96  128  160  192  224  256  288  320  352  384  416  448  480    .000 .488 .124 .215 .024 .017 .011 .004 .004 .005 .005 .002 .002 .004 .003     512  544  576 1024 1536 2048 2560 3072 3584 4096 4608    .001 .001 .002 .015 .065 .000 .000 .000 .000 .000 .000 IP Flow Switching Cache, 278544 bytes   7 active, 4089 inactive, 2198 added   31664 ager polls, 0 flow alloc failures   Active flows timeout in 30 minutes   Inactive flows timeout in 15 seconds IP Sub Flow Cache, 21640 bytes   0 active, 1024 inactive, 0 added, 0 added to flow   0 alloc failures, 0 force free   1 chunk, 1 chunk added   last clearing of statistics never Protocol         Total    Flows   Packets Bytes  Packets Active(Sec) Idle(Sec) --------         Flows     /Sec     /Flow  /Pkt     /Sec     /Flow     /Flow TCP-Telnet          22      0.0       107    41      1.0      28.1      15.5 TCP-WWW            970      0.4         6   427      2.6       1.6       4.3 TCP-SMTP            35      0.0        10   232      0.1       5.7       6.7 TCP-other          445      0.1        27   115      5.2      12.9      13.0 UDP-DNS             49      0.0         3    66      0.0       4.9      15.5 UDP-NTP             33      0.0         1    76      0.0       0.4      15.6 UDP-other           76      0.0         2   218      0.0       2.2      15.5 Total:            1630      0.6        13   200      9.2       5.3       8.0 SrcIf         SrcIPaddress    DstIf         DstIPaddress    Pr SrcP DstP  Pkts Fa0/1         192.168.40.2    Fa0/0         85.140.17.215   06 0016 0940   939     я удаленно зашел на сервер Fa0/0         85.140.17.215   Null          192.168.40.2    06 0940 0016  1864     через статич.NAT трансляцию Fa0/1         192.168.40.2    Local         192.168.40.1    06 0F83 0017     4     я зателнетился на циску с сервера Fa0/0         194.67.23.205   Local         195.178.213.84  06 07F9 0985     1 Fa0/1         195.178.213.84  Fa0/0         194.67.23.205   06 0985 07F9     1 Fa0/1         195.178.213.84  Fa0/0         64.12.162.70    06 048E 1446     1 Fa0/0         64.12.162.70    Local         195.178.213.84  06 1446 048E     1 Самое интересное, что статич.трансляции нормально экспортятся в нетфлоу, но 4 последних - заНАТченные сессии пользователей отображаются не верно... ( Где грабли?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Не работает связка Netflow + NAT"		+/–
Сообщение от Сайко on 27-Фев-06, 20:09
А вот скажи мне, какой глубинный смысл утанавливать PBR на WAN интерфейсе, причем в ACL указывать адреса из RFC1918, или ты и вправду думаешь что к тебе из Интернета кто то пойдет на частные адреса. Насколько я помню все делается наоборот - PBR устанавливается на LAN(внутреннем) интерфейсе, и точно также пакеты пропрасываются на loopback.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Не работает связка Netflow + NAT"		+/–
	Сообщение от sh_ (??) on 27-Фев-06, 21:03
	2Сайко Не, устанавливаются на внешнем интерфейсе для netflow, но с адресами он действтельно отжог...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Не работает связка Netflow + NAT"		+/–
	Сообщение от Сайко on 27-Фев-06, 21:08
	>2Сайко >Не, устанавливаются на внешнем интерфейсе для netflow, но с адресами он действтельно >отжог... Если честно, то я сам никогда так и не пробовал это делать, да и не надо это мне реальных адресов вполне хватает на все свои фантазии.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Не работает связка Netflow + NAT"		+/–
	Сообщение от tyomikh (ok) on 27-Фев-06, 21:41
	>2Сайко >Не, устанавливаются на внешнем интерфейсе для netflow, но с адресами он действтельно >отжог... а что не нравится с адресами?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Не работает связка Netflow + NAT"		+/–
	Сообщение от Сайко on 28-Фев-06, 09:52
	>а что не нравится с адресами? Да вот это: access-list 101 permit ip any 192.168.40.0 0.0.0.255 ! route-map l00p permit 10 match ip address 101 ты всерьез думаешь что провайдер на тебя маршрутизирует частные адреса?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не работает связка Netflow + NAT"		+/–
Сообщение от sh_ (??) on 28-Фев-06, 07:49
no access-list 101 permit ip any 192.168.40.0 0.0.0.255 access-list 101 permit ip any 195.178.213.80 0.0.0.7
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Не работает связка Netflow + NAT"		+/–
	Сообщение от tyomikh (??) on 28-Фев-06, 09:31
	>no access-list 101 permit ip any 192.168.40.0 0.0.0.255 >access-list 101 permit ip any 195.178.213.80 0.0.0.7 Делал согласно http://www.netup.ru/articles_pdf/10.pdf там ACL прописан именно на внутренюю подсеть, как и во многих подобных этому описанию вариантах к тому же в моем случае PBR работает: gw#sh route-map route-map l00p, permit, sequence 10   Match clauses:     ip address (access-lists): 101   Set clauses:     interface Loopback0 FastEthernet0/1   Policy routing matches: 161021 packets, 136446200 bytes gw#sh route-map route-map l00p, permit, sequence 10   Match clauses:     ip address (access-lists): 101   Set clauses:     interface Loopback0 FastEthernet0/1   Policy routing matches: 161638 packets, 136666239 bytes
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Не работает связка Netflow + NAT"		+/–
	Сообщение от Сайко on 28-Фев-06, 09:46
	>http://www.netup.ru/articles_pdf/10.pdf to sh_ Ха, судя по этому бездарному документу полиси вешают на внутренний интерфейс. Смешит вот это(смитрим что они хотят заматчить с инклюдом и что получают) при этом должна появиться информация о трафике примерно следующего вида: Router#show ip cache flow | include 10.1.2.2 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Et1/0 195.161.112.6 Et1/1 10.11.0.6 06 0050 1093 3 Et1/1 10.11.0.6 Et1/0 195.161.112.6 06 1093 0050 5 Et1/0 195.161.112.6 Local 10.1.0.1 06 0050 1093 2 Где SrcIf – интерфейс, с которого пришел пакет. DstIf – интерфейс, на который был направлен пакет. Если данно поле Null, то данная информация не будет экспортирована в Netflow. Проверьте списки доступа. Складывается ощущение, что человек писал от балды.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Не работает связка Netflow + NAT"		+/–
	Сообщение от Сайко on 28-Фев-06, 09:55
	>Делал согласно >http://www.netup.ru/articles_pdf/10.pdf >там ACL прописан именно на внутренюю подсеть, как и во многих подобных >этому описанию вариантах Но PBR там прикручен к внутреннему! >к тому же в моем случае PBR работает: >gw#sh route-map >route-map l00p, permit, sequence 10 >  Match clauses: >    ip address (access-lists): 101 >  Set clauses: >    interface Loopback0 FastEthernet0/1 >  Policy routing matches: 161021 packets, 136446200 bytes >gw#sh route-map >route-map l00p, permit, sequence 10 >  Match clauses: >    ip address (access-lists): 101 >  Set clauses: >    interface Loopback0 FastEthernet0/1 >  Policy routing matches: 161638 packets, 136666239 bytes Это понятно ты лучше покаж sh ip access-list 101
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Не работает связка Netflow + NAT"		+/–
	Сообщение от tyomikh (??) on 28-Фев-06, 10:08
	>>http://www.netup.ru/articles_pdf/10.pdf >Но PBR там прикручен к внутреннему! если внимательно посмотреть, то там, КАК И ВО МНОГИХ ПОДОБНЫХ ОПИСАНИЯХ(а это уменьшает вероятность тиражирования ошибки), PBR прикручен к внешнему интерфейсу >Это понятно ты лучше покаж >sh ip access-list 101 в моем случае gw#sh access-lists 101 Extended IP access list 101     10 permit ip any 192.168.40.0 0.0.0.255 (137 matches) gw#sh access-lists 101 Extended IP access list 101     10 permit ip any 192.168.40.0 0.0.0.255 (155 matches) в Вашем случае >no access-list 101 permit ip any 192.168.40.0 0.0.0.255 >access-list 101 permit ip any 195.178.213.80 0.0.0.7 gw#sh access-lists 101 Extended IP access list 101     10 permit ip any 195.178.213.80 0.0.0.7 (2 matches) gw#sh access-lists 101 Extended IP access list 101     10 permit ip any 195.178.213.80 0.0.0.7 (2 matches) Т.е. не работает, как и PBR: gw#sh route-map route-map l00p, permit, sequence 10   Match clauses:     ip address (access-lists): 101   Set clauses:     interface Loopback0 FastEthernet0/1   Policy routing matches: 202464 packets, 139776724 bytes gw#sh route-map route-map l00p, permit, sequence 10   Match clauses:     ip address (access-lists): 101   Set clauses:     interface Loopback0 FastEthernet0/1   Policy routing matches: 202464 packets, 139776724 bytes >ты всерьез думаешь что провайдер на тебя маршрутизирует частные адреса? Разумеется, он на меня их не маршрутизит; ACL пишется исходя из порядка обработки приходящих пакетов на внешнем интерфейсе циски(имею в виду очередность PRB и NAT)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Не работает связка Netflow + NAT"		+/–
	Сообщение от Сайко on 28-Фев-06, 10:36
	Да, видимо я поторопился, был не прав, прошу не бить.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Не работает связка Netflow + NAT"		+/–
	Сообщение от tyomikh (ok) on 28-Фев-06, 10:48
	>Да, видимо я поторопился, был не прав, прошу не бить. Было бы тривиально - постить бы не стал уже все глаза проглядел в поисках бага :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Не работает связка Netflow + NAT"		+/–
Сообщение от tyomikh (ok) on 28-Фев-06, 10:19
Была еще идея, что NAT+Netflow не корректно работают на этой версии IOS, но я уже вторую пробую из 12.4 серии.... или, возможно, стандартные описания связки NAT+Netflow не работают на 12.4???... я не силен в знании IOS, но слышал, что в 12.4 есть масса кардинальных изменений по сравнению с <=12.3
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Не работает связка Netflow + NAT"		+/–
	Сообщение от ser00 on 28-Фев-06, 13:48
	В новых IOS начиная с 12.3T(11) можно вмето всякх там извращиний и заворачиваний трафика использовать flow egress Вот рабочий конфиг моей кошки IOS c3640-jk9o3s-mz.123-14.T3.bin Current configuration : 2452 bytes ! version 12.3 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname igate ! boot-start-marker boot-end-marker ! ! aaa new-model ! ! aaa authentication ppp default group radius aaa authorization network default group radius aaa accounting delay-start aaa accounting nested aaa accounting update newinfo aaa accounting network default start-stop group radius !         aaa session-id common ! resource policy ! clock timezone IRK 8 clock summer-time IRK recurring last Sun Mar 2:00 last Sun Oct 2:00 ip subnet-zero ip flow-egress input-interface ip flow-cache timeout inactive 60 ip flow-cache timeout active 1 ! ! ip cef no ip domain lookup ip name-server 192.168.2.10 no ip dhcp use vrf connected ! ! no ip ips deny-action ips-interface ! vpdn enable vpdn ip udp ignore checksum ! vpdn-group 1 ! Default PPTP VPDN group accept-dialin protocol pptp virtual-template 1 ! vpdn-group 2 accept-dialin protocol pppoe virtual-template 2 ! no ftp-server write-enable ! ! ! ! ! ! ! ! ! !         ! ! ! ! ! ! no crypto isakmp ccm ! ! ! ! interface Ethernet0/0 ip address 192.168.2.20 255.255.255.0 no ip redirects full-duplex pppoe enable ! interface Ethernet0/1 ip address XXX.XXX.XXX.1 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip flow egress ip nat outside ip virtual-reassembly ip route-cache policy full-duplex ! interface Virtual-Template1 mtu 1460 bandwidth 1024 ip unnumbered Ethernet0/0 no ip proxy-arp ip flow ingress ip flow egress ip nat inside ip virtual-reassembly delay 200 autodetect encapsulation ppp no keepalive ppp authentication chap callin ! interface Virtual-Template2 mtu 1492 bandwidth 1024 ip unnumbered Ethernet0/0 no ip proxy-arp ip flow ingress ip flow egress ip nat inside ip virtual-reassembly delay 200 autodetect encapsulation ppp no keepalive ppp authentication pap callin ! no ip http server no ip http secure-server ip classless ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.10 ip flow-export version 5 ip flow-export destination 192.168.2.10 9996 ! ! ip nat inside source list 4 interface Ethernet0/1 overload ! access-list 4 permit 10.0.0.0 0.0.255.255 access-list 108 permit ip any 10.0.0.0 0.0.255.255 !         ! radius-server host 192.168.2.10 auth-port 1812 acct-port 1813 radius-server key ciscanasP@S ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 ! ! end
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	15. "Не работает связка Netflow + NAT"		+/–
	Сообщение от tyomikh (ok) on 28-Фев-06, 15:05
	К сожалению, не был знаком с egress NetFlow accounting, только сейчас прочитал "Configuring Egress NetFlow Accounting", но не понял как это переложить на случай с NAT. Из Вашего конфига выцепил основные строки: ip flow-egress input-interface ip flow-cache timeout inactive 60 ip flow-cache timeout active 1 ! ip cef interface Ethernet0/0 ip address 192.168.2.20 255.255.255.0 ! interface Ethernet0/1 ip address XXX.XXX.XXX.1 255.255.255.0 ip flow egress ip nat outside ip route-cache policy ! interface Virtual-Template1 ip flow ingress ip flow egress ip nat inside ! ip flow-export version 5 ip flow-export destination 192.168.2.10 9996 ! ip nat inside source list 4 interface Ethernet0/1 overload ! access-list 4 permit 10.0.0.0 0.0.255.255 Попытка адаптации на моем 1841 не прошла(прежний PBR я убрал), т.е. по прежнему в sh ip cache flow видны реальные IP адреса вместо внутренних, теперь даже и для исходящих пакетиков :( Киньте плз в меня докой про eggress + NAT(!)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Не работает связка Netflow + NAT"		+/–
	Сообщение от ser00 on 28-Фев-06, 15:09
	новый sh run в студию
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	18. "Не работает связка Netflow + NAT"		+/–
	Сообщение от ser00 on 28-Фев-06, 15:11
	и sh ver
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Не работает связка Netflow + NAT"		+/–
	Сообщение от tyomikh (ok) on 28-Фев-06, 15:24
	>и sh ver gw#sh run Building configuration... Current configuration : 5792 bytes ! version 12.4 ! hostname gw ! boot-start-marker boot system flash c1841-advsecurityk9-mz.124-5.bin boot-end-marker ! aaa new-model ! ! aaa authentication login userauthen local aaa authorization network groupauthor local ! aaa session-id common ! resource policy ! mmi polling-interval 60 no mmi auto-configure no mmi pvc mmi snmp-timeout 180 no ip source-route ip cef ! ! ip inspect max-incomplete low 25 ip inspect max-incomplete high 100 ip inspect one-minute low 25 ip inspect one-minute high 100 ip inspect name ext smtp alert on ip inspect name ext http alert on ip inspect name ext ftp alert on ip inspect name ext tcp alert on ip inspect name ext udp alert on ip inspect name ext icmp alert on ip inspect name ext ssh alert on ip inspect name ext telnet alert on ! ! ip flow-egress input-interface ip flow-cache timeout inactive 60 ip flow-cache timeout active 1 no ip domain lookup ! interface Loopback0 ip address 192.168.254.1 255.255.255.0 ip nat inside ip virtual-reassembly ip route-cache flow ! interface FastEthernet0/0 description WAN ip address 195.178.213.83 255.255.255.248 ip access-group ext_if_in in ip access-group ext_if_out out no ip redirects no ip unreachables no ip proxy-arp ip inspect ext in ip flow ingress ip flow egress ip nat outside ip virtual-reassembly ip route-cache policy duplex auto speed auto ! interface FastEthernet0/1 description LAN ip address 192.168.40.1 255.255.255.0 ip flow egress ip nat inside ip virtual-reassembly duplex auto speed auto ! ip route 0.0.0.0 0.0.0.0 195.178.213.81 ip flow-export version 5 ! ip nat pool internal2outside 195.178.213.84 195.178.213.84 netmask 255.255.255.248 ip nat inside source list 1 pool internal2outside overload ip nat inside source static tcp 192.168.40.2 22 195.178.213.86 22867 extendable ! ip access-list extended ext_if_in evaluate ip_out permit tcp any host 195.178.213.83 eq 22 permit udp any host 195.178.213.83 eq isakmp permit udp host 204.34.198.40 eq ntp host 195.178.213.83 eq ntp deny   ip any any log ip access-list extended ext_if_out permit ip 195.178.213.80 0.0.0.7 any reflect ip_out deny   ip any any log ! access-list 1 permit 192.168.40.0 0.0.0.255 access-list 101 permit ip any 192.168.40.0 0.0.0.255 access-list 108 permit ip any any route-map l00p permit 10 match ip address 101 set interface Loopback0 FastEthernet0/1 ! ... end gw#sh ver Cisco IOS Software, 1841 Software (C1841-ADVSECURITYK9-M), Version 12.4(5), RELE ASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2005 by Cisco Systems, Inc. Compiled Mon 31-Oct-05 18:02 by alnguyen ROM: System Bootstrap, Version 12.3(8r)T8, RELEASE SOFTWARE (fc1) gw uptime is 1 day, 13 minutes System returned to ROM by reload at 15:07:13 msk Mon Feb 27 2006 System restarted at 15:09:02 msk Mon Feb 27 2006 System image file is "flash:c1841-advsecurityk9-mz.124-5.bin" This product contains cryptographic features and is subject to United States and local country laws governing import, export, transfer and use. Delivery of Cisco cryptographic products does not imply third-party authority to import, export, distribute or use encryption. Importers, exporters, distributors and users are responsible for compliance with U.S. and local country laws. By using this product you agree to comply with applicable laws and regulations. If you are unable to comply with U.S. and local laws, return this product immediately. A summary of U.S. laws governing Cisco cryptographic products may be found at: http://www.cisco.com/wwl/export/crypto/tool/stqrg.html If you require further assistance please contact us by sending email to export@cisco.com. Cisco 1841 (revision 4.1) with 116736K/14336K bytes of memory. Processor board ID FCZ090622WQ 2 FastEthernet interfaces 1 Virtual Private Network (VPN) Module DRAM configuration is 64 bits wide with parity disabled. 191K bytes of NVRAM. 31360K bytes of ATA CompactFlash (Read/Write) Configuration register is 0x2102 Может, из-за ip inspect не пашет???
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	17. "Не работает связка Netflow + NAT"		+/–
	Сообщение от CompeR on 28-Фев-06, 15:10
	>В новых IOS начиная с 12.3T(11) можно вмето всякх там извращиний и заворачиваний трафика использовать flow egress Извините, что не в тему.... а для 2514 есть IOS c flow egress ?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	19. "Не работает связка Netflow + NAT"		+/–
	Сообщение от ser00 on 28-Фев-06, 15:16
	http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	21. "Не работает связка Netflow + NAT"		+/–
	Сообщение от tyomikh (ok) on 28-Фев-06, 15:27
	>>В новых IOS начиная с 12.3T(11) можно вмето всякх там извращиний и заворачиваний трафика использовать flow egress > >Извините, что не в тему.... >а для 2514 есть IOS c flow egress ? кроме http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp еще 1 твой лучший друг - это eMule(там можешь много че найти, и не только IOS%) http://www.emule-project.net/home/perl/general.cgi?l=1
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	22. "Не работает связка Netflow + NAT"		+/–
	Сообщение от CompeR on 28-Фев-06, 16:46
	>>>В новых IOS начиная с 12.3T(11) можно вмето всякх там извращиний и заворачиваний трафика использовать flow egress >> >>Извините, что не в тему.... >>а для 2514 есть IOS c flow egress ? > >http://tools.cisco.com/ITDIT/CFN/jsp/index.jsp Как я понял на 25XX такой штуки нет :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Не работает связка Netflow + NAT"		+/–
Сообщение от nbv on 02-Мрт-06, 10:20
>ip nat inside source list 1 pool internal2outside overload >! "list 1"? надо бы его определить на всякий случай. >route-map l00p permit 10 > match ip address 101 > set interface Loopback0 FastEthernet0/1 >! попробовать заменить на: >route-map l00p permit 10 > set interface Loopback0 >! >Самое интересное, что статич.трансляции нормально экспортятся в нетфлоу, но 4 последних - >заНАТченные сессии пользователей отображаются не верно... ( > >Где грабли?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Не работает связка Netflow + NAT"		+/–
	Сообщение от tyomikh (ok) on 02-Мрт-06, 10:31
	>"list 1"? надо бы его определить на всякий случай. на самом деле он есть(иначе как бы работало?), я его просто забыл в приведенный конфиг вставить >> set interface Loopback0 FastEthernet0/1 >попробовать заменить на: >> set interface Loopback0 не помогает эту же связку Netflow+NAT пробую на #sh ver IOS (tm) C2600 Software (C2600-IK9O3S3-M), Version 12.3(6), RELEASE SOFTWARE (fc3) ROM: System Bootstrap, Version 12.2(7r) [cmong 7r], RELEASE SOFTWARE (fc1) System image file is "flash:c2600-ik9o3s3-mz.123-6.bin" cisco 2621XM (MPC860P) processor (revision 0x100) with 94208K/4096K bytes of memory. Processor board ID JAD06310M5M (491493467) M860 processor: part number 5, mask 2 Bridging software. X.25 software, Version 3.0.0. 2 FastEthernet/IEEE 802.3 interface(s) 2 Serial(sync/async) network interface(s) 32K bytes of non-volatile configuration memory. 16384K bytes of processor board System flash (Read/Write) тоже не отображает нормальные внутренние ИП, только внешний адрес циски
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "Не работает связка Netflow + NAT"		+/–
	Сообщение от nbv on 02-Мрт-06, 12:10
	>>"list 1"? надо бы его определить на всякий случай. >на самом деле он есть(иначе как бы работало?), я его просто забыл >в приведенный конфиг вставить ИМХО пустой ACL == permit ip any any если он есть то приведи его. > >>> set interface Loopback0 FastEthernet0/1 >>попробовать заменить на: >>> set interface Loopback0 >не помогает "match ip adress..." - тоже убирал?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	26. "Не работает связка Netflow + NAT"		+/–
	Сообщение от tyomikh (ok) on 02-Мрт-06, 12:18
	>>>"list 1"? надо бы его определить на всякий случай. >если он есть то приведи его. access-list 1 permit 192.168.40.0 0.0.0.255 >"match ip adress..." - тоже убирал? убирал, не помогает! %((
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "Не работает связка Netflow + NAT"		+/–
	Сообщение от Sqquirel (ok) on 24-Ноя-09, 10:53
	>тоже не отображает нормальные внутренние ИП, только внешний адрес циски Добрый день! Удалось решить проблему? Столкнулся с подобной бедой...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема